生物识别技术,正走进人们的日常生活。
比如传统的刮擦式指纹传感设备抗攻击能力比较弱,但是新的电容式传感器已经能够很好地监测真皮层的纹路来获取指纹,通过只复制了表面的指纹贴很难攻击成功。比如通过多个摄像头可以检测人脸是否为三维立体,从而有效防止二维的照片和视频攻击,或者在识别用户的过程中让用户随机做一些动作,提前准备好的假体视频很难应付这种动态检测。
“攻防的过程可以说是魔高一尺、道高一丈,没有绝对的安全,但防攻击手段的提升能拉高攻击的门槛,当攻击成本高于收益,就意味着攻击没有了价值。”曹恺说,不久前支付宝在其安全开放日发布了人脸等生物识别支付技术,“这些技术在实验室内测中已经得到了不错的结果。”
身体密码被盗怎么办
将人脸图像数据与动态参数绑定,如被窃只需挂失动态参数
如果将人脸作为支付密码,在支付过程中人脸数据被黑客截走,难道需要“挂失”现在的模样,换一张脸才行吗?这当然只是个可怕的想象。在支付以及密码数据接收的这一中间和终端环节中,专家通过对生物模板的脱敏和加密保护来实现用户生物特征的保护。
“简单来说,就是让人脸或者其他生物特征变得可撤销、可变更。”孙哲南介绍了一种业内比较热门的加密思路,“就像给生物特征穿上一件变化的外套,比如将人脸图像数据与一个动态参数绑定,如果被窃,只要挂失这个动态参数,就等于挂失了你的生物特征,下次注册会绑定新的参数。并且绑定的数据是不可逆的,即使在支付过程中被拦截,也不能还原成原始图像。”
曹恺提供了目前另一种生物模板加密的研究方向,这种保护方式被称为“模糊保管箱”。曹恺解释,这种保护方式是把用户的生物特征作为密码来保护服务商提供的一组密钥,用户在支付时,使用自己的生物特征对这组预先分配的密钥进行解锁,密钥在完成解锁后传输给服务商进行身份验证,这样一来,网上传输以及服务商保存的只是这组密钥,即使被盗取了危害也不大。
针对采集设备、活体检测、识别精度、通路加密、服务终端每一支付环节的不同攻击,都有有效招数来狙击风险,而每一个招数背后,都是一个深邃、极富挑战的技术领域。同时,不仅是科技领域,支付安全的发展还依赖更多学科的支撑。“支付安全现在不仅是生物识别、密码学、信息安全问题,还需要综合考虑心理学、社会工程学、支付行为学等多方因素制定安全方案,支付安全已经进入了一个新时代。”曹恺说,比如大额支付和手机话费充值所采用的安全保护技术自然有所区别,一个更强调安全,一个更强调方便。
孙哲南则看好生物识别技术的应用前景,他认为,不仅仅用于支付,生物特征还将是智能时代的身份入口,人脸、虹膜等更多的生物特征将为智能设备、智能网络、智能安防等提供自动精准的身份标识,这既对生物识别技术提出重大挑战,也蕴含着巨大的市场。(记者 赵展慧)